au sujet de ma bestiole

[xb24]

Suite au problème dont je viens de vous faire part, je m'aperçois que je ne peux même pas cliquer sur le lien du message pour lire les réponses. Je pense que c'est dû au mots interdits qui me bloquent tout.

Donc merci de me répondre ici, en espérant que ça marche...

Quelle galère !

[bruce lee]

re,

 

Je t'ai repondu sur ton autre sujet; essaye de faire la procedure preliminaire; si tu ne peux vraiment pas, fais le moi savoir.

 

bon courage

[xb24]

Salut Bruce Lee,

 

je ne peux décidemment plus accéder au précédent message. Tu peux faire un copier collier s'teup ?

Merci

[bruce lee]

re,

 

Oublie la procedure preliminaire; et fais ceci:

 

Télécharge Qoofix (par RubbeR DuckY) sur ton Bureau, de ce lien :

http://www.malwarebytes.org/Qoofix.zip

1. Crée un nouveau dossier directement sur le lecteur C: et nomme-le Qoofix
   
2. Dézippe/extrais les deux fichiers contenus dans l'archive (Qoofix.exe et Qoofix.dll) dans ce nouveau dossier (C:\Qoofix)
   
3. Ouvre le dossier Qoofix et double clique Qoofix.exe
   
4. Clique sur le bouton Begin Removal et laisse l'outil scanner ton ordi.
   
5. Si l'infection est détectée, clique sur le bouton Yes afin de permettre à l'outil de redémarrer l'ordi.
   
6. Si l'outil affiche ce message: "No malicious modules found!" et "No Qoologic infected files found!", alors clique sur le bouton "Exit".
   
7. Un rapport est automatiquement généré et sauvegardé dans le dossier qui contient l'outil (donc C:\Qoofix\Qoofix Logfile.txt)
   

Poste un nouveau rapport HijackThis!, ainsi que le contenu du fichier Qoofix logfile.txt dans ta prochaine réponse.

 

@+

[xb24]

voici les rapports en question :

 

Qoofix v1.03 by http://www.malwarebytes.org

Scan started on [24/09/2006] at [17:43:52]

-------------------------------------------------------------

No malicious modules found!

-------------------------------------------------------------

No Qoologic infected files found!

-------------------------------------------------------------

Scan COMPLETED SUCCESSFULLY on [24/09/2006] at [17:44:37]

 

Note: Some registry keys may have been removed.

et hijack :

 

bon hijack plante, je ne peux plus faire de rapport....

[xb24]

J'ai procedé autrement pour Hijack voici le rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 18:03:30, on 24/09/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\mguard.exe

D:\WINDOWS\Explorer.exe

D:\WINDOWS\system32\LEXBCES.EXE

D:\WINDOWS\system32\LEXPPS.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

D:\WINDOWS\System32\oodag.exe

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\WINDOWS\Mixer.exe

D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe

C:\Program Files\DAEMON Tools\daemon.exe

D:\WINDOWS\system32\pctspk.exe

C:\Program Files\RAM Idle LE\RAM_XP.exe

D:\WINDOWS\System32\PAStiSvc.exe

D:\Garmin\gStart.exe

D:\WINDOWS\System32\svchost.exe

C:\Program Files\RamBoost XP\rambxpfr.exe

D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\WINDOWS\System32\msnsrv.exe

D:\WINDOWS\system32\cmd.exe

c:\Program Files\WinRAR\WinRAR.exe

c:\Program Files\WinRAR\WinRAR.exe

c:\Program Files\WinRAR\WinRAR.exe

c:\Program Files\WinRAR\WinRAR.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\hijackthis_199\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-internet.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe mguard.exe

F2 - REG:system.ini: UserInit=D:\WINDOWS\System32\userinit.exe,mguard.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [DAEMON Tools] "c:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [RAM Idle Professional] c:\Program Files\RAM Idle LE\RAM_XP.exe

O4 - HKLM\..\Run: [Ms Java for Windows NT] mguard.exe

O4 - HKLM\..\Run: [Win32] msnsrv.exe

O4 - HKLM\..\RunServices: [Win32] msnsrv.exe

O4 - HKCU\..\Run: [gStart] D:\Garmin\gStart.exe

O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Ms Java for Windows NT] mguard.exe

O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe

O4 - Startup: Club Internet.lnk = D:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D02D6BE4-A1FA-4129-8205-C7BE19DCAC0B}: NameServer = 194.117.200.10 194.117.200.15

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: O&O Defrag - O&O Software GmbH - D:\WINDOWS\System32\oodag.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - D:\WINDOWS\system32\pctspk.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall\persfw.exe

O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe

[bruce lee]

re,

 

Si durant la procedure ci bas, il y a des etapes que tu n'as pas reussi a faire, merci de

continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

 

1/Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/en/download/

Installe la et mets à jour.

 

Démarre Ewido avec l'icône qui se trouve sur ton Bureau.

Clique sur Update Now,

attend la fin de cette mise à jour,

puis ferme le programme.

 

 

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

3/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

F2 - REG:system.ini: Shell=Explorer.exe mguard.exe

F2 - REG:system.ini: UserInit=D:\WINDOWS\System32\userinit.exe,mguard.exe

O4 - HKLM\..\Run: [Ms Java for Windows NT] mguard.exe

O4 - HKLM\..\Run: [Win32] msnsrv.exe

O4 - HKLM\..\RunServices: [Win32] msnsrv.exe

O4 - HKCU\..\Run: [Ms Java for Windows NT] mguard.exe

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

4/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

5/supprime ce qui est en gras (si present):

 

C:\WINDOWS\System32\ javanet.exe<== le fichier

C:\WINDOWS\System32\ msjava.exe<== le fichier

C:\WINDOWS\System32\ xpjavams.exe<== le fichier

C:\WINDOWS\System32\ wunosjava.exe<== le fichier

C:\WINDOWS\System32\ creative.exe<== le fichier

C:\WINDOWS\System32\ netapi.exe<== le fichier

C:\WINDOWS\System32\ msguard.exe<== le fichier

C:\WINDOWS\System32\ javaapplets.exe<== le fichier

C:\WINDOWS\System32\ jconsole.exe<== le fichier

C:\WINDOWS\System32\ winservnt32.exe<== le fichier

C:\WINDOWS\System32\ wkssvr.exe<== le fichier

C:\WINDOWS\System32\ msnsrv.exe<== le fichier

 

 

6/ Relance Ewido et clique sur Scanner

Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

 

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

 

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

 

 

7/redemarre en mode normal

 

8/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.

 

9/rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser PAStiSvc.exe

qui se trouve ici:

 

D:\WINDOWS\System32\PAStiSvc.exe

 

et post le resultat.

 

bon courage, et si tu as la moindre question n'hesite surtout pas

 

@+